微软 Active Directory(AD)可以说是最常见的本地目录服务或身份源(IdP)。它开发于20世纪90年代后期,也经历了21世纪的身份管理现代化。但无论 IT 环境如何发展,管理员和企业对 AD 一直疑问重重,甚至产生了误解。
本期文章为微软 AD 问答系列的基础篇,将尽可能用最简单直观的说明解答关于 AD 的各类问题,本期内容主要包括微软 AD 的基本概念、使用的协议、目标客户等。
AD 是一种目录服务或身份提供程序(IdP),于1999年首次推出 AD,和 windows 2000 Server 版本一同发布。AD 主要是为了帮助管理员将用户连接到基于 Windows 的 IT 资源,同时管理和保护基于 Windows 的业务系统和应用。AD 负责存储有关网络对象(如用户、组、系统、网络、应用、数字资产等)及其相互关系的信息。
管理员可以使用 AD 创建用户并授权用户访问 Windows 终端、服务器和应用等。另外,AD 还能用于控制系统组、强制执行安全设置和软件更新。 访问和控制都是基于域的概念实现的。所谓域,其实就是一个包含和排除的概念,传统上用于物理位置的区分。过去很多 IT 资源都托管在本地,成为域(内网)的一部分。内网用户可以访问所需的本地资源。而在内网以外的用户就需要 VPN ,假装用户处于内网中,从而实现访问。当 IT 资源和人员处于相同的物理环境时,这种访问控制方法可以起到很好的效果。 相比之下,AD 所属的身份和访问管理(IAM)又进一步拓展了应用的范围,通常还涉及单点登录(SSO)或移动设备管理(MDM)等辅助解决方案。宁盾身份目录即服务 (DaaS) 就是可增强AD在复杂IT环境下的能力的云目录方案。
Active Directory 主要利用 DNS/DHCP 网络协议和轻量级目录访问协议(LDAP),以及用于身份验证的微软专有 Kerberos 版本。 很多人问为什么 AD 原生支持的协议这么少,没有 SAML 和 RADIUS 这些常用协议。虽然不清楚微软的想法,但多协议的确是身份和访问管理的未来方向。而要让 AD 支持 SAML、RADIUS 等协议,可以采用微软附加方案或第三方解决方案,比如对接宁盾 DaaS 方案,可以扩展单点登录(SSO)、多因子认证(MFA)、用户自服务等多种能力。
目前对于AD 名称的由来最贴切的一种解释是 AD 会主动更新目录存储的信息。例如,当管理员从组织中添加或删除用户时,Active Directory 会自动将用户的更改情况复制到所有目录服务器。这种更改会定期发生,以便同步最新信息。 在今天的 IT 系统中,AD 这种主动更新信息的行为已经司空见惯了。但是,在目录服务计算机化之前,目录自动更新的概念还是具有一定创新意义的。毕竟在 AD 推出的时代,人们还用百科全书查东西。
一般来说,企业部署了 AD 之后,员工在不知情的情况下每天都会用到 AD 的功能,包括工作机的登录、应用程序的访问、打印机和文件的共享等。 但 AD 的主要用户其实是管理员,他们需要实际操作、管理和配置 AD。具体来说可能包括 IT 部门、IT 安全部门、开发运维以及 IT 工程团队。
全球大部分企业和组织几乎都会使用包括 AD 在内的目录服务,除了提高生产力之外,还能控制对企业 IT 资源的访问。访问控制是现代企业运营的一大重心。
早在21世纪初,Active Directory 已经是推动商业世界运转的其中一个齿轮。大大小小的企业几乎都部署了 AD。这样一个基础工具默默无闻地在后台运行,以至于每天使用 AD 的用户甚至都没有意识到它的存在,更不知道它是安全访问终端、应用、网络和文件的大功臣。简而言之,目录服务的主要职责就是将用户连接到相应的 IT 资源,而 AD 为用户连接到 Windows 资源已经服务了近20年。