AD 与AAD 的区别与联系

2022-01-07

文章目录

AD 与AAD 的区别与联系
- AD是什么
- - ADDS 是什么
- AAD是什么
- - AADDS是什么
- AD与AAD的区别与联系
- - AD和AAD的区别

AD是什么

Active Directory(AD) 活动目录

Active Directory (AD)是一个数据库和一组服务，将用户与他们完成工作所需的网络资源连接起来。

活动目录(Active Directory)主要提供以下功能：1、服务器及客户端计算机管理，2、用户服务，3、资源管理，4、桌面配置，5、应用系统支撑等。

AD（Active Directory）概述：

传统AD依赖于Kerbose进行身份验证，Kerbose又叫做三头狗，要求计算机、用户和域控三方都要参与验证。因此，在传统AD中，计算机也拥有账号，也需要加域。另外，计算机也有登录到域的过程，甚至可以授权计算机账号访问文件夹和其他资源。在传统AD中，所有以Local System、Network Service身份运行的服务在访问域中其他共享资源时，都是以计算机账户的身份进行验证的。

传统AD的登录会由用户向域控申请和计算机之间通信的会话票据(默认存活8小时)，用户登录计算机时，向计算机出示会话票据，同时加上时间戳证明没有篡改过，计算机才会授权用户登录。登录以后，会在该计算机上生成登录会话，并查询该用户所属的域组和本地组，以此来创建访问令牌，如果是本地管理员，则会生成2张访问令牌(普通用户令牌和管理员令牌)。

传统AD协议(如Kerbose和LDAP）太沉重，一般只能适合内网C/S架构，无法穿透Internet。如果要穿透Internet，通常要将其转为基于Claim的形式，例如ADFS。ADFS类似于调制解调器，能够把Kerbose协议"转换"为其他Internet验证协议(SAML等)，但这其实并不是真正意义上的"转换"。

ADDS 是什么

What is Active Directory?

Active Directory Domain Services (AD DS) 域控服务

运行AD DS的服务器称为域控制器(DCs, domain controllers)

组织通常具有多个DCS，每个组织都有一个用于整个域的目录的副本。对一个域控制器上的目录 - 例如密码更新或删除用户帐户的更改将复制到其他DCS，以便它们保持最新状态。全局目录服务器是一个DC，它存储其域目录中的所有对象的完整副本以及森林中所有其他域的所有对象的部分副本;这使用户和应用程序能够在其林的任何域中查找对象。桌面，笔记本电脑和运行Windows（而不是Windows Server）的其他设备可以是Active Directory环境的一部分，但它们不会运行AD DS。AD DS依赖于多种建立的协议和标准，包括LDAP（轻量级目录访问协议），Kerberos和DNS（域名系统）。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-932Gz1QQ-1649581215103)(Q:/whx/Dropbox/Master/Blog/blog/source/_posts/img_article/2022-02-23-AD%E4%B8%8EAAD%E5%8C%BA%E5%88%AB%E5%92%8C%E8%81%94%E7%B3%BB/NLRxYiBq9S2s7mX.png)]

AAD是什么

Azure Active Directory (Azure AD)

是 Microsoft 基于云的身份和访问管理服务，可实现的员工登录和访问 Azure 中的资源：

What is Azure Active Directory

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ew6eRaYI-1649581215104)(Q:/whx/Dropbox/Master/Blog/blog/source/_posts/img_article/2022-02-23-AD%E4%B8%8EAAD%E5%8C%BA%E5%88%AB%E5%92%8C%E8%81%94%E7%B3%BB/3ghsbeXnqIjmiSu.png)]

AAD（Azure Active Directory）概述

Azure 提供通过AAD管理身份验证和授权的服务，AAD是一种基于云的标识服务，管理员和开发人员可以使用Azure AD配置的集中式规则和策略来控制对内部和外部数据及应用程序的访问。 AAD支持常见的Internet验证协议，例如WS-Federation、SAML等轻量级的基于Claim的验证协议。与传统AD类似，AAD同样有访问令牌，不过其中的内容是Claim属性，而且由于需要在Internet上交付，所以需要对其进行数字签名和加密。下面是AAD主要包含的四个服务：

身份验证：包括验证身份以访问应用程序和资源、自助密码重置、多重身份验证（MFA）等功能。
单一登录（SSO）：用户只需记住一个ID和一个密码即可访问多个应用程序。
应用程序管理：可以使用AAD应用程序代理、SSO、“访问”面板和SaaS应用来管理云应用和本地应用。
设备管理：管理云设备或本地设备访问企业数据的方式

AADDS是什么

Azure Active Directory Domain Services( Azure AD DS) 提供托管域服务

类似ADDS，例如域加入、组策略、轻型目录访问协议 (LDAP) 和 Kerberos/NTLM 身份验证。无需在云中部署、管理和修补域控制器 (DC) 即可使用这些域服务。

Azure AD DS 托管域使你能够在云中或你不希望目录查找始终返回到本地 AD DS 环境的位置，运行无法使用现代身份验证方法的旧版应用程序。你可以将这些旧版应用程序从本地环境直接迁移到托管域，而无需在云中管理 AD DS 环境。

Azure AD DS 与现有的 Azure AD 租户集成。通过此集成，用户可以使用其现有凭据登录到与托管域相连的服务和应用程序。还可以使用现有组和用户帐户来保护对资源的访问。这些功能可更顺畅地将本地资源直接迁移到 Azure。

什么是 Azure Active Directory 域服务