摘要
在現代雲時代的大環境下,雲服務的概念已經是無人不知無人不曉了。像阿里雲、谷歌雲、aws、azure等等已經深入日常的方方面面。那對於雲中的身份,我們今天特別的介紹一下azure active directory(aad)的概念,希望可以幫助您了解的更加清晰。azure活動目錄是一種新的現代化身份驗證提供程式,但它不是雲中的活動目錄。aad的操作不像您所知道和鍾愛的活動目錄,而且我們並沒必要把這兩種服務放在一起進行比較,因為它是一項完全不同的雲服務。
關於微軟的雲服務azure,如果您已經使用了一段時間,我相信您應該已經知道azure活動目錄,不過我相信還是有大多數的人會認為azure active directory 和on-premise active directory沒有太大的不同,它們兩個功能應該一樣。那就大錯特錯了,因為azure active directory根本不是active directory的雲版本,它與本地的active directory名稱完全沒有任何相似之處。
什麼是active directory?
一種目錄服務,在windows server2000後支援,當環境需要域服務時可以隨時新增。可以非常方便的幫助管理所有在域種的物件。假設您很有可能已經知道active directory(ad)是什麼,也已經使用了多年,現在您正在尋求遷移到雲中並了解aad是什麼。為確保我們可以將ad(尤其是ad的域服務部分)與aad進行比較,以下快速列出了構成ad的基本功能:
除了域服務外,我們還具有諸如證書服務,聯合身份驗證服務和特權訪問管理之類的元件。
什麼是azure active directory?
如果知道什麼是active directory,那麼它與azure active directory有何不同?真正的答案是名字很相似,兩者關係不是很緊密。我們可以想象aad的命名只是僅僅為了讓azure中多了一種類似ad的目錄服務,不過功能已經相差萬千。也許更多是營銷的手段,而不是純粹的技術設計。實際上雲中的aad一直是為paas和saas服務作為預設選擇而設計的,針對雲中的iaas它卻無能為力。
azure active directory是乙個安全的身份驗證儲存,它也可以包含使用者和組,但也僅僅只是這麼一點的相似之處。azure active directory是用於現代應用程式的基於雲的身份管理儲存。azure active directory旨在允許您建立使用現代身份驗證機制(例如saml和oauth)的使用者,組和應用程式。
應用程式是azure active directory中存在的物件,一種全新支援的功能,這在ad中不存在。應用程式的設計可以允許您為應用程式在azure active directory中建立乙個標識,以此為基礎向使用者授予訪問許可權,並允許您向使用者授予對他人擁有的應用程式的訪問許可權。方便、快捷的開發資料和訪問分離的介面,高效的移植**加速開發程序。
aad不提供的是使用者管理之外的任何ad服務。
這幾個定義可以很清楚地展示azure ad與ad完全不同。azure active directory用於雲中的使用者標識,組和應用程式管理。如果您使用paas或saas並使用現代身份驗證協議構建所有的新服務,則建議應該全部使用azure active directory。反之,如果您使用的是azure中iaas服務,也希望雲中的計算機加入傳統ad域,然後建立gpo來批量管理,就不要對azure active directory抱有直接的奢望,因為您需要您需要採用aad ds模式管理。那是另外一種方案。
雲中的ad
針對以上的azure active directory描述希望您現在能夠明白什麼是azure active directory,什麼不是。如果您正在計畫構建雲中的應用程式,而azure active directory的功能可以滿足您的需求,我想您應該已經知道怎麼選擇了。否則,如果您用的是azure中的iaas路由上,而您仍然需要ad域的服務,是否有什麼方案可以選擇呢?
加入azure ad
aad join僅限於windows 10計算機並提供有限的功能,當然沒有像完整的ad join那樣的功能。加入azure ad後,便可以使用azure ad使用者帳戶登入計算機。也可以應用rbac條件訪問策略,該策略要求在訪問資源或應用程式之前將計算機加入azure active directory。這就是一種在windows 10計算機之間提供通用使用者帳戶管理的方法。
azure ad域服務
如果您不僅需要使用者管理,還可以使用
azure ad域服務
擴充套件azure ad
以提供更多基於
ad的服務
。aad ds
是您在雲中的虛擬網路上可以選擇啟用的
azure
產品,該產品部署兩個由azure平台管理並與您的
azure ad
租戶同步的域控制器。這使您可以向
azure active directory
租戶中的使用者授予計算機訪問許可權,還可以實現自定義
ou,組策略,
ldap
查詢,ntlm
和kerberos
之類的像本地
active directory
具有的功能。而且這是由azure平台管理的域,因此您不必擔心域控損壞後的修復和保證它
7x24
小時的執行。只不過是無法完全控制域。例如,您沒有域管理員許可權,只有足夠的許可權來執行
microsoft
允許的任務。
iaas域控制器
如果您想在azure中部署一些虛擬機器並將其變成域控制器,這中操作是支援的,這種做法已經被許多人應用並享受到了傳統active directory的全部功能。
不過,這種方法也有缺點,就是是需要自己進行管理:需要打補丁、更新伺服器、備份域以及進行任何其他的系統維護。最最重要的是關於這個域控的高可用性、災難恢復策略等等都要自力更生。這樣做的回報就是ad提供了所有功能,也許這是乙個不錯的選擇,但是如果您想要的只是讓雲標識使用者登入計算機,那就有點太浪費了。
訪問您的本地域
最後,您還可以將現有的本地域擴充套件到
azure。使用
expressroute
或vpn
這兩種網路架構,可以方便的將本地網路連線到
azure
虛擬網路
vnet
並直接訪問域控制器。
這篇文章簡單介紹了以下azure active directory和傳統active directory的異同之處,並且特別介紹了什麼情況下可以利用雲中的azure active directory。希望可以幫到您。
監測目錄活動
監測目錄活動 c 中有類 filesystemwatcher 不但能夠知道指定目錄樹中的檔案 目錄的改變,而且能夠知道是哪個檔案 目錄在改變,而我用findfirstchangenotification等win api 卻不能實現第二個功能,虛耗了不少時間,昨日在msdn中發現 readdirect...
活動目錄維護
1.壓縮和重新索引活動目錄 2.修復活動目錄資料庫 大多是ntdsutil工具。ntdsutil在執行它的部分工作時會使用由另乙個名為esentutl的實用程式提供的指令。1.只有在希望 ntds.dit占用的磁碟空間時,才需要執行離線碎片整理。如果是聯絡碎片整理,雖然會對資料庫 進行壓縮,但是不會...
活動目錄的優勢
活動目錄的優勢 active directory服務提供了單一登入的能力和乙個所有基礎設施相關資訊的集中儲存機制,大幅度的簡化了使用者和計算機的管理,同時提供優越的網路資源訪問能力。我在本文中主要講述一下microsoft windows server 2003 中的 active director...