Rublon

Secure Remote Access

By

Usługi AD DS (Active Directory Domain Services) stanowią podstawę zarządzania tożsamością w przedsiębiorstwie, natomiast usługi AD LDS (Active Directory Lightweight Directory Services) są bardziej elastyczne i lekkie, idealne dla aplikacji, które potrzebują usług katalogowych, ale nie wymagają pełnej integracji domeny. Znajomość różnic między nimi może pomóc w wyborze odpowiedniego rozwiązania dla organizacji. Czytaj dalej, aby dowiedzieć się więcej o różnicach między usługami AD DS i AD LDS.

Odporne na phishing FIDO MFA

Brzmi ciekawie? Wypróbuj nasze odporne na phishing uwierzytelnianie wieloskładnikowe przez 30 dni za darmo i przekonaj się, jak proste jest to rozwiązanie.

Wypróbuj Nie wymaga karty

Co to jest AD DS?

Usługi domenowe Active Directory (AD DS) to podstawowa usługa katalogowa firmy Microsoft, która zarządza użytkownikami, komputerami, grupami i zasadami bezpieczeństwa w domenie Windows Server. Uwierzytelnia użytkowników, autoryzuje dostęp do zasobów i replikuje dane katalogowe między kontrolerami domeny w celu utrzymania spójnego, hierarchicznego katalogu w całej organizacji.

Co to jest AD LDS?

Usługi Active Directory Lightweight Directory Services (AD LDS), wcześniej znane jako ADAM, to lekka usługa katalogowa oparta na protokole LDAP, przeznaczona dla aplikacji, które nie wymagają pełnej infrastruktury domenowej. AD LDS obsługuje elastyczne przechowywanie katalogów, umożliwia zarządzanie wieloma niezależnie zarządzanymi instancjami (każda z własnym schematem) i może działać na serwerach członkowskich lub autonomicznych. Usługa AD LDS nie opiera się na kontrolerach domeny ani katalogach globalnych w taki sposób, jak usługa AD DS, chociaż integracja i synchronizacja z usługą AD DS jest możliwa po konfiguracji.

AD DS i AD LDS w liczbach


  • AD DS obsługuje lasy i domeny z maksymalnymi limitami, takimi jak rozmiar obiektów/kontenerów, progi wydawania RID‑ów itp.; np. gdy procent dostępnych RID‑ów spada do niskich wartości, kontrolery domenowy generują zdarzenia ostrzegawcze. Microsoft: AD DS Maksymalne Limity i Skalowalność
  • Firma Microsoft udostępnia wskazówki dotyczące maksymalnej liczby użytkowników na domenę w zależności od najwolniejszej prędkości łącza i procentu przepustowości zarezerwowanego na replikację; na przykład przy najwolniejszym łączu o przepustowości 64 kb/s i zarezerwowaniu 5% przepustowości pojedyncza domena w lesie może obsługiwać około 50 000 użytkowników. Microsoft: Określanie liczby wymaganych domen
  • AD LDS może uruchamiać wiele niezależnych instancji na jednym serwerze, każda ze swoim własnym schematem i kontekstami nazw; działa bez organizacji w lasy/domeny oraz bez konieczności używania katalogów globalnych. Microsoft: Co to jest AD LDS?

AD DS vs. AD LDS: jaka jest różnica?

Główna różnica między usługami AD DS i AD LDS polega na tym, że AD DS to w pełni funkcjonalna usługa katalogowa zapewniająca scentralizowane uwierzytelnianie i autoryzację dla sieci domenowych Windows, a AD LDS to lekka usługa katalogowa oferująca elastyczne wsparcie dla aplikacji obsługujących katalogi bez konieczności stosowania pełnego kontrolera domeny.

AD DS vs. AD LDS: tabela różnic

Tabela przedstawiająca różnice między AD LDS i AD DS.
AspektAD DSAD LDS
Pełna nazwaActive Directory Domain ServicesActive Directory Lightweight Directory Services
Główne zadanieZarządzanie uwierzytelnianiem i autoryzacją w domenach Windows, politykami domenowymi i relacjami zaufaniaŚwiadczenie usług katalogowych dla aplikacji, bez pełnej infrastruktury domeny lub lasu
Zależność od domeny/kontroleraWymaga kontrolerów domen; działa w ramach domen i lasówNie wymaga domen ani kontrolerów domen; może działać samodzielnie
SchematWspólny schemat dla całego lasu; jeden schemat dotyczy wszystkich domenPozwala na wiele instancji na tym samym serwerze, każda z własnym, niezależnie zarządzanym schematem
Protokoły uwierzytelnianiaKerberos + NTLM, LDAP itd., zintegrowane z usługami domenowymi WindowsObsługuje uwierzytelnianie LDAP; Kerberos może być używany przy odpowiedniej konfiguracji, ale AD LDS nie obsługuje relacji zaufania domena-domena ani katalogów globalnych w taki sposób, jak robi to usługa AD DS
Obsługa infrastruktury ADObsługuje Group Policy, Global Catalog oraz relacje zaufania między domenami/lasamiNie obsługuje Group Policy, Global Catalog ani funkcji zaufania domenowego
Przypadek użyciaNajlepszy w środowiskach korporacyjnych, gdzie potrzebna jest centralna tożsamość, polityki bezpieczeństwa i administracja domenowaDobry dla aplikacji, które potrzebują katalogu, niestandardowych atrybutów, lekkiego wdrożenia; idealny w środowiskach deweloperskich/testowych lub dla usług izolowanych
ReplikacjaReplikuje zmiany pomiędzy kontrolerami domen w domenie; obsługuje topologie replikacji lasów i domenMoże replikować między instancjami AD LDS; replikacja mniejsza, wybiórcza; mniej obciążeń sieciowych
Nakład administracyjny i złożonośćWyższy: wymaga zarządzania domenami, lasami, relacjami zaufania, kontrolerami domen itd.Niższy: lżejsza instalacja i utrzymanie; możliwość uruchomienia wielu instancji; mniej zależności infrastrukturalnych

Szukasz dostawcy FIDO MFA?

Chroń użytkowników Active Directory i Entra ID przed hakerami dzięki odpornym na phishing kluczom bezpieczeństwa FIDO i kluczom dostępu.

Wypróbuj (Nie wymaga karty)

Rozróżnienie między AD DS a AD LDS

  • Usługa AD LDS to niezależny tryb usługi Active Directory, co oznacza, że ​​nie wymaga infrastruktury domeny/lasu, od której zależy usługa AD DS.
  • Niektóre aplikacje mogą korzystać z usługi AD LDS, gdy potrzebują niestandardowych schematów, kontekstów nazewnictwa lub instancji katalogów dedykowanych aplikacji, bez wpływu na schemat domeny lub zasady usługi AD DS.
  • Usługa AD LDS nie zapewnia zestawów funkcji na poziomie domeny, takich jak katalog globalny, relacje zaufania czy zasady grupy powiązane z domenami, które są kluczowe dla usługi AD DS.
  • Usługa AD DS jest wymagana, gdy potrzebne jest pełne uwierzytelnianie sieciowe dla klientów i serwerów Windows, scentralizowane egzekwowanie zasad oraz granice tożsamości i zabezpieczeń w całej domenie. Usługa AD LDS jest lżejsza i nadaje się do katalogów aplikacji, środowisk deweloperskich/testowych lub instancji, w których narzut oparty na domenie jest niepożądany.

Zalety AD LDS w porównaniu z AD DS

  • Elastyczność: obsługa niestandardowych schematów dla każdej instancji bez konieczności modyfikowania schematu lasu AD DS.
  • Zredukowana infrastruktura: brak konieczności stosowania domen, lasów ani kontrolerów domeny.
  • Izolacja: aplikacje korzystające z AD LDS są mniej powiązane z zasadami na poziomie domeny lub ograniczeniami schematu.
  • Lekkie wdrożenie: idealne dla aplikacji obsługujących katalogi, które nie wymagają pełnych usług domenowych.

Zalety AD DS w porównaniu z AD LDS

  • Centralna tożsamość: uwierzytelnianie i autoryzacja zarządzane dla użytkowników domeny i komputerów.
  • Obsługa zasad grupy: egzekwowanie bezpieczeństwa, konfiguracji i zgodności na wszystkich komputerach przyłączonych do domeny.
  • Zarządzanie zasobami i uprawnieniami: kontrola grup zabezpieczeń i uprawnień dostępu w środowisku domeny.
  • Głębsza integracja: obsługa relacji zaufania domen/lasów, katalogu globalnego i ścisłych funkcji ekosystemu Windows.

Integracja i współistnienie usług AD DS i AD LDS

AD DS i AD LDS mogą współistnieć w tym samym środowisku. Instancje AD LDS można wdrażać na serwerach członkowskich lub autonomicznych równolegle z AD DS, aby obsługiwać aplikacje wykorzystujące usługi katalogowe bez konieczności pełnej integracji z domeną lub lasem. Każda instancja AD LDS może korzystać z własnego schematu i kontekstów nazw, dzięki czemu schemat AD DS oraz infrastruktura domenowa pozostają nienaruszone. Jeśli jednak planujesz synchronizację danych lub współdzielenie klas obiektów, schemat AD LDS musi zawierać wszystkie wymagane klasy i atrybuty.

Kwestie bezpieczeństwa

Bezpieczeństwo ma kluczowe znaczenie podczas wdrażania usług katalogowych. ADDS oferuje silne, wbudowane funkcje bezpieczeństwa dla środowisk domenowych, w tym egzekwowanie zasad grupy, listy kontroli dostępu (ACL), relacje zaufania oraz mechanizmy uwierzytelniania, takie jak Kerberos. ADLDS, choć bardziej elastyczny, nie dziedziczy automatycznie zasad i relacji zaufania na poziomie domeny; wymaga jawnej konfiguracji metod uwierzytelniania, kont usług, list kontroli dostępu (ACL) i audytu (szczególnie w przypadku wielu instancji lub aplikacji), aby zapewnić bezpieczeństwo danych katalogowych.

Dalsza lektura dotycząca AD DS i AD LDS


  • MS-ADTS (Microsoft Active Directory Technical Specification) — oficjalna specyfikacja obejmująca stan protokołów, replikację, magazyn danych oraz zachowanie zarówno AD DS, jak i AD LDS. Specyfikacja Microsoft ADTS
  • Wytyczne Microsoft dotyczące planowania wydajności i pojemności dla AD DS — zalecany sprzęt, replikacja, liczba kontrolerów domeny itp. Microsoft: Planowanie pojemności dla AD DS
  • Przegląd AD LDS, jego funkcje i scenariusze zastosowań — rozszerzanie schematu, partycje katalogów aplikacji itp. Microsoft: Przegląd AD LDS

Kiedy wybrać AD DS, a kiedy AD LDS

Wybór między usługami AD DS a AD LDS zależy od potrzeb organizacji.

  • Wybierz AD DS, gdy:
    • Potrzebujesz pełnej infrastruktury domeny/lasu do scentralizowanego uwierzytelniania i autoryzacji użytkowników i komputerów.
    • Chcesz egzekwować bezpieczeństwo, konfigurację lub zgodność za pomocą zasad grupy na urządzeniach przyłączonych do domeny.
    • Wymagasz funkcji na poziomie domeny, takich jak katalogi globalne lub relacje zaufania z innymi domenami.
  • Wybierz AD LDS, gdy:
    • Masz aplikacje, które wymagają usług katalogowych, ale nie wymagają całego obciążenia związanego z zarządzaniem opartym na domenie.
    • Chcesz oddzielić zmiany schematu specyficzne dla aplikacji, aby nie rozszerzać ani modyfikować schematu AD DS.
    • Potrzebujesz elastycznej instancji katalogu, która może działać niezależnie (na serwerze autonomicznym lub członkowskim) dla aplikacji, usług deweloperskich/testowych lub usług izolowanych.

Wnioski

Zrozumienie różnic między AD DS i AD LDS jest kluczowe dla wdrożenia odpowiednich usług katalogowych w Twoim środowisku. Usługa AD DS najlepiej sprawdza się w zarządzaniu domenami, użytkownikami i zasobami sieciowymi w środowisku Windows. AD LDS to lekka i elastyczna usługa katalogowa dla aplikacji, niewymagająca kontrolera domeny.